Yulnofrins Napilus, Assistant to President Director PT Tiga Raksa, menyatakan bahwa audit TI (teknologi informasi), seperti juga audit keuangan, sesungguhnya sangat dibutuhkan oleh suatu perusahaan yang telah menerapkan TI untuk kepentingan usahanya. Namun, ia menyadari, masih banyak perusahaan yang belum merasakan perlunya melakukan audit TI.
“ Ada sejumlah alasan utama yang muncul, misalnya karena perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools,” ungkapnya. Juga, masih banyak perusahaan yang kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas.
Alasan lainnya lebih menyangkut nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan. Termasuk juga masih terdapatnya sejumlah jargon teknis TI yang sulit dipahami oleh manajemen puncak. Menurut Nofrins, para teknisi atau spesialis TI seringkali berbicara menggunakan jargon-jargon teknis tanpa melihat perlunya membangun kesepahaman terlebih dahulu dengan lawan bicaranya. “Akibatnya lawan bicaranya langsung menolak untuk melanjutkan pembicaraan,” jelasnya.
Tidak berarti semua itu negatif, karena resistensi terhadap dilakukannya audit TI juga bisa muncul karena tingginya tingkat kepercayaan perusahaan terhadap bagian TI. Apalagi, kalau selama ini belum pernah ada masalah serius yang terjadi terhadap sistem TI mereka, misalnya mengalami crash, terkena gangguan virus, hilangnya file, hingga dijebolnya sistem oleh para hackers.
 |
| Yulnofrins Napilus, Assistant to President Director PT Tiga Raksa |
Mengapa audit TI
Dari pengalamannya selama ini, perusahaan-perusahaan mulai mempertimbangkan kemungkinan dilakukannya audit TI, terutama, setelah manajemen puncaknya mulai mempertanyakan beberapa hal yang dirasa cukup penting. Misalnya, mengenai ROI (Return on Investment) dari investasi perangkat dan sistem TI yang sudah dilakukan selama ini. Itu bila investasi TI mulai dirasakan membengkak, tetapi hasil atau daya gunanya justru tidak sebanding dengan yang diharapkan.
Dalam banyak kasus, kebanyakan manajer TI atau personal TI tidak bisa menjelaskan secara baik, melalui parameter kuantitatif, antara investasi TI dan peningkatan produktivitas karyawan. Biasanya, profesional TI cenderung menyebutkan hal itu sebagai hal yang intangible. Akibatnya, manajemen puncak dan senior terpaksa meraba-raba dan mencari tahu apa yang dimaksud dengan intangible itu. Tentu, itupun setelah perusahaan berinvestasi TI dalam jumlah yang tidak bisa dipandang kecil.
Kegagalan bagian TI dalam menjelaskan hasil guna seperti yang diharapkan mendorong manajemen puncak mengambil langkah melakukan audit TI. Kegagalan tersebut biasanya terkait dengan tidak terpenuhinya ROI secara memadai. Sekaligus, juga berkurangnya kredibilitas bagian TI di mata bagian-bagian lain di dalam perusahaan.
Isu lain yang juga mendorong dilakukannya audit TI adalah karena dirasakan kurang selarasnya kegiatan bagian TI dengan tujuan-tujuan bisnis perusahaan secara keseluruhan. Di samping itu, dirasakan perlunya mengerem investasi TI yang sudah menggelembung lebih besar dari perencanaan awal.
Hal lain yang juga mengemuka, yang mendorong dilakukannya audit TI adalah masalah keamanan sistem internal, terutama ketika hendak dihubungkan dengan Internet. Bagi banyak perusahaan, hal itu jarang sekali diperhatikan.
Selama ini, Internet dianggap sebagai cara yang paling efektif dan efisien untuk berkomunikasi dengan kantor cabang ataupun pihak luar, termasuk pemasok barang dan jasa. Karena Internet sesungguhnya merupakan public domain, maka faktor keamanannya perlu diperhatikan secara sungguh-sungguh. Tanpa memperhatikan faktor itu, hackers akan mudah masuk dan menjebol sistem, serta mengambil file-file penting perusahaan.
Menurut Nofrins, saat ini, masalah keamanan juga dihadapi banyak perusahaan, antara lain menyangkut persoalan transaksi dan pembukuan keuangan perusahaan. Itu sebabnya persoalan ini menjadi sangat penting untuk diperhatikan. Pengabaian terhadap persoalan keamanan berarti juga membuka peluang bagi masuknya hackers, bukan hanya sekadar mengacak-acak file yang ada tetapi juga mematai-matai dan, bahkan, mencuri sejumlah file penting lainnya. Tidak heran bila faktor keamanan menjadi salah satu fokus dalam audit TI. (baca juga kolom: Agus Pracoyo, “Pentest vs. Audit vs. Assessment”)
Repotnya Menjelaskan Produktivitas
Kebanyakan profesional TI mengalami kesulitan untuk menjelaskan mengenai peningkatan produktivitas secara terukur. Padahal, salah satu kunci utama ketika akan merencanakan penggelaran sistem TI di suatu perusahaan adalah meningkatnya produktivitas karyawan. Meski manajemen puncak sangat berminat terhadap persoalan satu ini, namun menjelaskannya tak mudah. Tak jarang produktivitas dilihat sebagai sesuatu yang intangible.
Salah satu contoh klasik mengenai peningkatan produktivitas dan efektivitas suatu sistem TI adalah pengalaman satu perusahaan ekspedisi nasional. Perusahaan menginvestasikan banyak dana untuk penerapan TI dan pengembangannya dilakukan beberapa tahun belakangan ini. Menurut manajer TI perusahaan tersebut, sebelum diterapkannya TI, satu paket kiriman harus diproses selama 6 jam sebelum takhirnya dikirim ke alamat yang dituju. Yang repot, proses tersebut dilakukan berulang kali, mulai dari penerimaan hingga pengiriman dilakukan. Ini terutama terjadi pada sisi dokumentasi administrasinya. Artinya, terjadinya proses pencatatan dan pengiriman dokumen yang sama berulang kali, mulai dari kantor penerima, kantor persinggahan, kantor tujuan, hingga di kantor pusat sendiri.
Ketika TI diterapkan, proses pendokumentasian sebuah paket kiriman menjadi sangat singkat dan hanya dilakukan sekali saja saat paket diterima di kantor cabang. Akibatnya, produktivitas karyawan menangani pekerjaannya pun meningkat drastis. Bahkan, bisa dikatakan meningkat ratusan persen karena sebuah paket hanya perlu waktu penanganan tidak lebih dari hitungan detik, padahal sebelumnya bisa berjam-jam. Hal ini pula yang kemudian semakin meningkatkan daya saing perusahaan tersebut. |
Audit TI, menurut Nofrins, bertujuan untuk mengevaluasi dan memperbaiki efektivitas proses-proses manajemen risiko, kontrol dan good governance. Dalam pandangan Isnaeni Achdiat, Senior Manager, Information System Assurance and Advisory Services, Ernst & Young, bahwa nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. “Jadi bukan mencari siapa yang salah dan kesalahannya apa,” jelas Nofrins.
Kebanyakan perusahaan sudah merasa yakin dengan perencanaan penerapan dan pengembangan sistem TI-nya. Keyakinan itulah yang membuat umumnya banyak perusahaan menampik untuk melakukan audit TI. Selain tentu ada juga pertimbangan menyangkut biaya pelaksanaan audit TI. “Pada prinsipnya audit TI hampir sama dengan audit keuangan,” jelas Nofrins. “Namun, bedanya kalau audit keuangan sudah merupakan keharusan, sementara audit TI dilakukan sebatas jika diperlukan,” lanjutnya.
Dari pengalaman yang pernah ditemuinya selama berkarir di bidang TI, Nofrins melihat justru perusahaan itulah yang diuntungkan dengan dilakukannya audit TI. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya. Mereka didorong untuk menerapkan secara tepat dan benar, bukan sekedar menggelar suatu sistem yang mahal, namun tidak berdampak terhadap peningkatan kinerja karyawan dan perusahaan itu sendiri.
Komponen audit TI
Audit TI mencakup sedikitnya enam komponen yang sangat esensial. Antara lain: pendefinisian tujuan perusahaan; penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; assessment infrastruktur teknologi, assessment aplikasi bisnis; serta temuan-temuan, dan laporan rekomendasi.
Subyek audit TI lebih terfokus pada keamanan, keandalan, kinerja dan manageability. Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja.
Sementara manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan. “Payahnya, orang Indonesia ini tidak begitu peduli terhadap pendokumentasian, sehingga melakukan perubahan tanpa dokumentasi apapun haruslah dihindari sejak awal,” jelasnya.
Setelah audit TI dilakukan terdapat sejumlah assessment yang masih harus dikerjakan guna memenuhi persyaratan dan standar yang sudah disepakati bersama. Dari pengalaman diketahui bahwa assessment audit tidak hanya terhadap konfigurasi sistem dan jaringan yang diterapkan, melainkan juga organisasi bagian TI.
Pengalaman Tiga Raksa
Konfigurasi sistem dan jaringan PT Tiga Raksa terfokus pada konsep dan penerapan WAN, Internet, e-mail system serta pendokumentasiannnya. Konsep WAN-nya jelas dan tersentralisasi di kantor-kantor cabang di seluruh Indonesia . Jaringannya memiliki kecapatan yang cukup tinggi, yaitu 1.000 Megabit, agar bisa mengimbangi beban kerjanya. Sebelumnya, kantor perwakilan perusahaan memiliki 4 e-mail address domain yang terpisah. Namun, setelah diaudit keempatnya dilebur menjadi satu. Koneksi ke Internet yang tadinya terbuka diubah melalui satu gateway yang telah dilengkapi firewall.
Audit TI dan Regulasi
Industri keuangan, misalnya perbankan, lebih dulu mengenal audit TI dibanding banyak industri lainnya. Maklum, industri ini memang dikenal sebagai the most computerized industries. Itu sebabnya industri perbankan sangat mengenal dan sebagian besar telah akrab dengan audit TI.
Kebutuhan untuk melakukan audit TI di kalangan perbankan lebih disebabkan karena kebutuhan dasarnya. Ini mirip dengan kebutuhan industri ini terhadap audit keuangan. Itu sebabnya Bank Indonesia , sebagai bank sentral, juga mendorong dikeluarkannya regulasi tentang audit TI. Menurut Mohamad Ishak, Direktur. Direktorat Akunting dan Sistem Pembayaran Bank Indonesia , sebelum regulasi dikeluarkan BI sebenarnYa sudah menyadari pentingnya dilakukan audit TI untuk kalangan perbankan nasional.
Bisa jadi hal itu dipicu OLEH rawannya masalah keamanan TI, sehingga sewaktu-waktu memungkinkan sistem dibobol oleh hacker. Namun. terlepas dari masalah itu, ternyata tidak hanya persoalan sekuriti yang menjadi titik fokus. Tetapi, juga menyangkut sistem dan perangkat, jaringan, dan manajemen TI yang menyeluruh dan berkesinambungan dari waktu ke waktu. Ini berguna tidak hanya untuk kepentingan perbankan semata-mata, melainkan juga melindungi kepentingan nasabah.
Jauh sebelum regulasi audit TI dikeluarkan, BI sebenarnya sudah mendorong dilakukannya audit TI di kalangan perbankan nasional. Nampaknya, BI ingin membiarkan munculnya awareness yang sungguh-sungguh dari para pengelola perbankan nasional akan pentingnya audit TI daripada meregulasinya secara terburu-buru dan menimbulkan resistensi yang kontra produktif.
Selain itu, BI nampaknya juga berhati-hati dalam regulasinya, karena terdapat perbedaan akan standar dan prosedur audit TI. Sebagai bank sentral, BI tentu ingin mempelajari lebih jauh mengenai perbedaan dan keunggulan serta kelemahan masing-masing standar tersebut, sebelum mengakomodasikannya ke dalam regulasi yang akan ditetapkan secara mengikat ke seluruh kalangan perbankan nasional.
Namun, tampaknya apa yang dilakukan BI justru cukup tepat mengingat kalangan perbankan nasional saat ini sudah sedemikian akrab dengan audit TI dan menggangapnya sebagai kebutuhan mendasar. Artinya, audit dilakukan secara berkala dan bukan sekedar sebagai reaksi sesaat. |
Untuk servers, assessment audit mewajibkan penerapan konfigurasi RAID. Ini dilakukan terutama untuk main critical applications. Dengan konfigurasi ini terdapat minimal 3 disk, sehingga bila salah satunya gagal atau crash, maka 2 disk lainnya akan menggantikan sambil menunggu perbaikan. Ini untuk mencegah terjadinya kehilangan data-data penting perusahaan. Assessment terhadap servers juga menghendaki penerapan skema cadangan C-ICT dan piranti lunak pengendali jarak-jauh C-ICT.
Untuk PC dan printer, assessment menghendaki virus scanner dilakukan secara otomatis ketika pengguna log-in. Penyimpanan data tidak lagi dilakukan pada drive lokal C, tapi langsung pada file servers kecuali pada kantor cabang yang dilakukan dengan CD-RW. Assessment juga menghendaki C-ICT common desktop application terhadap semua PC yang ada, dan dibatasi usia PC sehingga tidak ada yang obsolet dari sisi teknologi. “Dulu ketika datang pertama kalinya, masih ada teman yang masih menggunakan PC berprosesor 486 dan pentium I, padahal saat itu umumnya di pasar sudah ada PC berprosesor Pentium III,” ungkapnya.
Yang sering terlupakan adalah pengaturan printer sebagai alat bantu. Kebanyakan perusahaan berusaha menyediakan printer untuk hampir setiap pegawainya. Namun, hal itu tidak dilakukan di sini. Assessment audit menyarankan perlunya berbagai printer untuk satu grup kerja tertentu, sehingga mengurangi keengganan karyawan menggunakan printer di luar keperluan kerja.
Assessment terhadap piranti lunak dilakukan dengan menyeragamkan sistem operasi (OS). “Saat itu diputuskan untuk mengambil Windows 2000 server based dengan service pack terbaru,” jelas Nofrins. Keseragaman diperlukan agar tidak hanya efisien, tapi juga mudah dalam perawatannya.
Pengoraganisasian bagian TI juga ditetapkan dalam audit assessment. Ini terbagi atas IT management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise resource planning) sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan memecahkan masalah yang muncul.
Untuk IT support, assessment menghendaki terjadinya restrukturisasi organisasi TI dengan pendekatan operasional yang baru. Penekannya pada karyawan yang terlatih dengan baik, sehingga cepat tanggap dan terbuka terhadap semua keluhan yang muncul.
Namun, yang terpenting bukan terletak pada organisasi dan staffing bagian TI, melainkan karena audit TI masih terbatas pada fokus utama dan yang terkait dengan penerapan dan pengembangan sistem TI dalam suatu organisasi atau perusahaan. Namun, masalahnya, bagaimana mensosialisasikannya ke seluruh bagian dan staf lainnya di dalam organisasi tersebut.
Di sinilah justru letak tantangan terbesarnya, yakni bagaimana menyebar luaskan dan mengubah kebiasaan pengguna TI. “Jangan sampai muncul keluhan dari teman atau pengguna betapa sulitnya mengingat password, terutama karena seringnya gonta-ganti password,” jelas Nofrins. EW
Foto-foto: Muflihun
|
